將埠 1433 和 1434 開放給 VPN Only 有什麼大的安全風險嗎？

所以我的組織正在使用 VPN 和遠端桌面 (RDP) 進行遠端辦公。由於一些內部問題，已要求我們的網路工作人員僅向 VPN 流量開放埠 1433 和 1434（SQL Server 埠），以便本地 Windows 應用程序和 SSMS 無需 RDP 即可直接訪問 SQL Server。所以這不是向公眾開放的。

我的問題是，將這些埠開放給 VPN 流量是否存在很大的安全風險？現在我們的組織正在討論這個問題。我認為這不會有很大的風險，因為黑客需要獲得 VPN 訪問權限，然後獲得 AD 憑據或服務帳戶憑據才能訪問實際的 SQL Server。我相信這兩層安全使得這種低風險不高。此外，我們最近更新了所有 AD 密碼以要求更多字元 (15)、特殊字元、數字、大寫、小寫。

當開放更多潛在的攻擊媒介時，風險總是會增加，一般來說，在這種情況下是埠。但這是 SQL Server 實例的兩個標準大多數埠，風險很低，尤其是當您將入站流量限制為僅 VPN 流量時。

如果它們沒有對任何流量開放，那麼根本無法連接到您的 SQL Server 實例，從而使其無用 - 儘管我假設您是說你們除了向 VPN 流量開放之外與伺服器本身在同一防火牆後面的任何內部流量，您可能已經意識到這一點。

無論如何，允許 VPN 流量到 SQL Server 實例的這些埠是相當標準的，我個人也是這樣做的。

引用自：https://dba.stackexchange.com/questions/300356